JP2022501973A - システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 - Google Patents
システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 Download PDFInfo
- Publication number
- JP2022501973A JP2022501973A JP2021517968A JP2021517968A JP2022501973A JP 2022501973 A JP2022501973 A JP 2022501973A JP 2021517968 A JP2021517968 A JP 2021517968A JP 2021517968 A JP2021517968 A JP 2021517968A JP 2022501973 A JP2022501973 A JP 2022501973A
- Authority
- JP
- Japan
- Prior art keywords
- eps
- security context
- mobility management
- management entity
- cellular network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000001413 cellular effect Effects 0.000 claims abstract description 78
- 238000000034 method Methods 0.000 claims abstract description 58
- 230000011664 signaling Effects 0.000 claims description 34
- 230000008859 change Effects 0.000 claims description 15
- 230000015654 memory Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 38
- 238000004891 communication Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000019491 signal transduction Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000007784 solid electrolyte Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/06—De-registration or detaching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
これらの信号のやり取りには計算資源のコストを必要とし、限定された信号伝達リソースが用いられる。無線インタフェースにおいては、信号伝達リソースは非常に重要である。なぜなら、ユーザデータの転送以外の全てに利用される各シンボルが、ユーザデータの転送能力を小さくしてしまうからである。
・ ソースセルラネットワークがe-UTRAN(evolved Universal Terrestrial Radio Access Networ)であり、
・ 前記ターゲットセルラネットワークがng-RAN(Next Generation Radio Access Network)であり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPS(Evolved Packet System,発展型パケットシステム)セキュリティ・コンテキストを有し、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている。
・ 前記ソースセルラネットワークng-RANであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDU(Protocol Date Unit,プロトコルデータユニット)セッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ 前記ソースセルラネットワークng-RANがであり、
・ 前記ターゲットセルラネットワークがe-UTRANであり、
・ 前記ソースセルラネットワークのモビリティ管理エンティティと前記ターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
a);
b);
c);
d);
a)及びb);
a)及びc);
a)及びd);
b)及びc);
b)及びd);
a)及びb)及びc);
a)及びc)及びd);
b)及びc)及びd)。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
1);
2);
3);
4);
1)及び2);
1)及び3);
1)及び4);
2)及び3);
2)及び4);
1)及び2)及び3);
1)及び3)及び4);
2)及び3)及び4)。
を備える。
・ 前記AMFが前記UEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ 前記EPSのモビリティ管理エンティティとng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ 前記EPSのモビリティ管理エンティティと前記ng-RANのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークがng-RANであり、
・ UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ UEは緊急ベアラサービスのためのPDN(パケットデータネットワーク)接続を有しており、
・ UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、UEが受け取っている。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない。
・ ソースセルラネットワークng-RANがであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ ソースセルラネットワークのモビリティ管理エンティティとターゲットセルラネットワークのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、ソースセルラネットワークはターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、UEが受け取っており、
・ UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ UEは有効なネイティブEPSセキュリティ・コンテキストを有する。
・ AMFがUEから、完全性保護(integrity protection)及び暗号化(encryption)なしのREGISTRATION REQUEST(登録要求)メッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSI(Key Set Identifier for Next Generation Radio Access Network,次世代無線アクセスネットワークのための鍵設定識別子)を含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズム(例えばEIA0及びEEA0にセットされたNASセキュリティアルゴリズム)を含む。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない。
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む。
[0073−1]
5GMM-CONNECTEDモードにおけるS1モードからN1モードへのシステム間変更(inter-system change)の間、次のa)及びb)によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされた5G NASセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからAMFにREGISTRATION REQUESTメッセージを送信する。UEはこのメッセージを、マッピングされた5G NASセキュリティ・コンテキストを用いて完全性保護して(integrity protected)送信するべきである。しかし、暗号化しないで(unciphered)送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされた5G NASセキュリティ・コンテキストを使って暗号化されて送信される。
[0073−2]
5GMM-IDLEモードにおけるS1モードからN1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073−2−1]
a)UEが有効なネイティブ5G NASセキュリティ・コンテキストを有する場合、UEは、そのネイティブ5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信するべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、当該ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
ネイティブ5G NASセキュリティ・コンテキスト値を示すngKSIを含んだ前記REGISTRATION REQUESTメッセージを受診した後、AMFは、前記REGISTRATION REQUESTメッセージに含まれるngKSIが、AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかをチェックすると共に、前記REGISTRATION REQUESTメッセージのMACを検証すべきである。検証が成功である場合、AMFは、ソースMMEから受信したEPSセキュリティ・コンテキストがあればそれを削除し、次のいずれかによって、NASメッセージのセキュアな交換を再確立する。
i)上記ネイティブ5G NASセキュリティ・コンテキストを使って完全性保護され暗号化されたREGISTRATION ACCEPTメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073−2−2]
b)UEが有効な5G NASセキュリティ・コンテキストを有していない場合は、次の通りである。
i)UEが緊急ベアラサービスのためのPDN接続を有していないか、UEは最新のEPSセキュリティ・コンテキストを有しているが、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいないか、又はUEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)との標示を受信した場合、UEは、完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
1)N26なしのインターワーキングがサポートされていない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
ii)UEが緊急ベアラサービスのためのPDN接続を有していて、UEは最新のEPSセキュリティ・コンテキストを有していて、そのEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでおり、UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングがサポートされていない)との標示を受信した場合、UEは、マッピングされた5G NASセキュリティ・コンテキストを現在のEPSセキュリティ・コンテキストから導出すると共に、マッピングされた5G NASセキュリティ・コンテキストで完全性保護されたREGISTRATION REQUESTメッセージを送信すべきである。UEは、当該REGISTRATION REQUESTメッセージの中に、前記マッピングされた5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。
マッピングされた5G NASセキュリティ・コンテキスト値"000"を示すngKSIを含んだREGISTRATION REQUESTメッセージを受信した後、N26なしのインターワーキングをサポートしていないAMFは、EPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストを導出し、受信したREGISTRATION REQUESTメッセージに含まれるngKSIが、先に導出した、マッピングされた5G NASセキュリティ・コンテキストのngKSI に合致するかどうかを検査すべきである。検査が成功であると、AMFは、マッピングされた5G NASセキュリティ・コンテキストを使って完全性保護及び暗号化したREGISTRATION ACCEPTメッセージで返信することにより、NASメッセージのセキュアな交換を再構築する。
[0073−2−3]
b)UEが、有効なネイティブ5G NASセキュリティ・コンテキストを有さない、シングルレジストレーションモードで動作している場合、当該UEは、完全性保護及び暗号化なしで、REGISTRATION REQUESTメッセージを送信すべきである。
完全性保護及び暗号化なしでREGISTRATION REQUESTメッセージを受信した後、
i)N26なしのインターワーキングがサポートされていない場合:
1)ソースMMEから受信したEPSセキュリティ・コンテキストが、EIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいない場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成するか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意(primary Authentication and Key Agreement)手続をトリガするべきである。
2)ソースMMEから受信したEPSセキュリティ・コンテキストがEIA0及びEEA0にセットされたNASセキュリティアルゴリズムを含んでいる場合、AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成すべきである。
ii)N26なしのインターワーキングがサポートされている場合、AMFは、プライマリ認証及び鍵合意手続をトリガするべきである。
新しく作成された5G NASセキュリティ・コンテキストは、セキュリティモード制御手続を開始することによって使用に供される。この5G NASセキュリティ・コンテキストは、UEとAMFの両方において、最新の5G NASセキュリティ・コンテキストとなる。これは、NASメッセージのセキュアな交換を再構築する。
[0073−3]
5GMM-CONNECTEDモードにおけるN1モードからS1モードへのシステム間変更の間、次によって、MMEとUEとの間にNASメッセージのセキュアな交換が確立される。
a)AMFから、5GMM-CONNECTEDモードにおいてシステム間変更をトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータを送信する。UEはこれらのパラメータを、マッピングされたEPSセキュリティ・コンテキストを生成するために使用する。
b)5GMM-CONNECTEDモードにおけるシステム間変更の後、UEからMMEにTRACKING AREA UPDATE REQUESTメッセージが送信される。UEはこのメッセージを、マッピングされたEPSセキュリティ・コンテキストを用いて完全性保護して送信するべきである。しかし、暗号化しないで送信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、マッピングされたEPSセキュリティ・コンテキストを使って暗号化されて送信される。
[0073−4]
5GMM-IDLEモードにおけるN1モードからS1モードへのシステム間変更の間、UEはシングルレジストレーションモード(single registration mode)で動作する。また次の通りである。
[0073−4−1]
a)UEがネットワークから"interworking without N26 not supported"(N26なしのインターワーキングはサポートされていない)の標示を受信した場合、又はUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートしない場合、UEは、現在の5G NASセキュリティ・コンテキストによって完全性保護されたTRACKING AREA UPDATE REQUESTメッセージを送信し、マッピングされたEPSセキュリティ・コンテキストを導出すべきである。UEは、前記TRACKING AREA UPDATE REQUESTメッセージの中に、前記マッピングされたEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
eKSIを含むTRACKING AREA UPDATE REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、TRACKING AREA UPDATE REQUESTメッセージを、ソースAMFに転送する。ソースAMFは、eKSI値フィールドを、当該AMFで利用可能な5G NASセキュリティ・コンテキストを識別するために使用し、この5G NASセキュリティ・コンテキストを使って前記TRACKING AREA UPDATE REQUESTメッセージのMACを検証すべきである。検証が成功の場合、AMFは、上記5G NASセキュリティ・コンテキストから、マッピングされたEPSセキュリティ・コンテキストを導出し、これをMMEに送信すべきである。MMEは、次のいずれかによって、NASメッセージのセキュアな交換を再構築する:
i)マッピングされたEPSセキュリティ・コンテキストを使って完全性保護され暗号化されたTRACKING AREA UPDATE ACCEPTメッセージで返信する。その後は、UEとMMEとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、ATTACH REQUESTメッセージやTRACKING AREA UPDATE REQUESTメッセージのようなメッセージを除いて、UEとMMEとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
ii)セキュリティモード制御手続(security mode control procedure)を開始する。これはMMEによって用いられることができ、以前のEPSセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在のEPSセキュリティ・コンテキストを修正するかによって、用いられることができる。
[0073−4−2]
b)UEがネットワークから"interworking without N26 supported"(N26なしのインターワーキングがサポートされている)の標示を受信した場合、及びUEが、(N1モードからS1モードへPDUセッションを転送するために)要求タイプが"handover"(ハンドオーバ)にセットされたPDN CONNECTIVITY REQUESTメッセージを含む ATTACH REQUESTメッセージの送信をサポートする場合。
i)UEが有効なネイティブEPSセキュリティ・コンテキストを有する場合、前記UEは、そのネイティブEPSセキュリティ・コンテキストで完全性保護されATTACH REQUESTメッセージを送信するべきである。UEは、当該ATTACH REQUESTメッセージの中に、前記ネイティブEPSセキュリティ・コンテキスト値を示すeKSIを含めるべきである。
ii)UEが、有効なネイティブEPSセキュリティ・コンテキストを有さない場合、前記UEは、完全性保護及び暗号化なしで、ATTACH REQUESTメッセージを送信すべきである。
ATTACH REQUESTメッセージを受信した後、MMEから受信したEPSセキュリティ・コンテキストは、アタッチ手続を進めるべきである。
[0073−5]
N1モードからN1モードへのハンドオーバの間、次によって、AMFとUEとの間にNASメッセージのセキュアな交換が確立される。
a)ターゲットAMFから、N1モードからN1モードへのハンドオーバをトリガするUEへ、ASシグナリング中にカプセル化されたNASセキュリティ関連パラメータが送信される。UEはこれらのパラメータを、新しい5G NASセキュリティ・コンテキストを生成するために使用する。
[0073−6]
NASメッセージのセキュアな交換は、N1モードからN1モードへのハンドオーバの後も継続される。これは、5GMM-CONNECTEDにおけるN1モードからS1モードへのシステム間変更が終了した後に、又はNASシグナリング接続が解放された後に、終了する。
5GMM-IDLEモードのUEが、新しいNASシグナリング接続を確立し、有効な最新の5G NASセキュリティ・コンテキストを有する場合、前記UEは、前記最新の5G NASセキュリ ティ・コンテキストで完全性保護された最初のNASメッセージ(initial NAS message)を送信すべきである。UEは、前記最初のNASメッセージの中に、前記最新の5G NASセキュリティ・コンテキスト値を示すngKSIを含めるべきである。AMFは、前記最初のNASメッセージに含まれるngKSIが、該AMFで利用可能な5G NASセキュリティ・コンテキストに属するかどうかを検査するべきである。また、前記NASメッセージのMACを検証すべきである。この検証が成功である場合、AMFは、次によって、NASメッセージのセキュアな交換を再確立してもよい。
a)前記最新の5G NASセキュリティ・コンテキストを使って完全性保護され暗号化された NASメッセージで返信する。その後は、UEとAMFとの間で交換される全てのNASメッセージが、完全性保護されて送信される。また、REGISTRATION REQUESTメッセージやSECURITY MODE COMMANDメッセージのようなメッセージを除いて、UEとAMFとの間で交換される全てのNASメッセージが、暗号化されて送信される。または、
b)セキュリティモード制御手続(security mode control procedure)を開始する。これはAMFによって用いられることができ、以前の5G NASセキュリティ・コンテキストを使うか、新しいNASセキュリティアルゴリズムを使って現在の5G NASセキュリティ・コンテキストを修正するかによって、用いられることができる。
Claims (18)
- アイドルモードシステム間変更におけるUEにおける方法であって、前記UEはシングルレジストレーションモードにあり、前記方法は、次の条件:
条件a)
・ ソースセルラネットワークがe-UTRANであり、
・ ターゲットセルラネットワークが5GSのng-RANであり、
・ 前記UEは有効なネイティブ5G NASセキュリティ・コンテキストを有しておらず、
・ 前記UEは緊急ベアラサービスのためのPDN接続を有しており、
・ 前記UEはnull integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む最新のEPSセキュリティ・コンテキストを有し、
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件b)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなければ、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートしないとの標示を、前記UEが受け取っている;
条件c)
・ ソースセルラネットワークng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートしない;
条件d)
・ ソースセルラネットワークがng-RANであり、
・ ターゲットセルラネットワークがe-UTRANであり、
・ 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間のシグナリングチャネルがなくても、前記ソースセルラネットワークは前記ターゲットセルラネットワークとのインターワーキングをサポートするとの標示を、前記UEが受け取っており、
・ 前記UEは、PDUセッションをN1モードからS1モードに転送するために要求タイプが"handover"にセットされたPDN CONNECTIVITY REQUESTメッセージを含むATTACH REQUESTメッセージの送信をサポートし、
・ 前記UEは有効なネイティブEPSセキュリティ・コンテキストを有する;
の1つ又は複数が満たされる場合、アイドルモードシステム間変更における既存のセキュリティ・コンテキストから、前記ターゲットネットワークのための新しい最初のNASメッセージについての暗号保護を導出することを含む、方法。 - 前記S1モードは、UEに、4Gアクセスネットワーク経由で4Gコアネットワークにアクセスすることを可能にするモードであり、前記N1モードは、UEに、5Gアクセスネットワーク経由で5Gコアネットワークにアクセスすることを可能にするモードである、請求項1に記載の方法。
- 前記EPSのモビリティ管理エンティティと前記5GSのモビリティ管理エンティティとの間の前記シグナリングチャネルはN26インタフェースである、請求項1又は2に記載の方法。
- 前記請求項のいずれかに記載の方法であって、条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを完全性保護することを含む、方法。
- 前記請求項のいずれかに記載の方法であって、条件a)の場合、前記暗号保護は、最新のEPSセキュリティ・コンテキストからマッピングされた5G NASセキュリティ・コンテキストによって、REGISTRATION REQUESTメッセージを部分的に暗号化することを含む、方法。
- 前記請求項のいずれかに記載の方法であって、条件b)又は条件c)の場合、前記暗号保護は、最新の5G NASセキュリティ・コンテキストによって、TRACKING AREA UPDATE REQUESTメッセージを完全性保護することである、方法。
- 前記請求項のいずれかに記載の方法であって、条件d)の場合、前記暗号保護は、有効なネイティブEPSセキュリティ・コンテキストによって、ATTACH REQUESTメッセージを完全性保護することである、方法。
- シングルレジストレーションモードにあるUEの、e-UTRANからng-RANへのアイドルモードシステム間変更を取り扱う、5GSのAMFにおける方法であって、次の条件:
条件1)
・ 前記AMFが前記UEから、完全性保護及び暗号化なしのREGISTRATION REQUESメッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSIを含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す;
条件2)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む;
条件3)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない;
条件4)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む;
の1つ又は複数が満たされる場合、アイドルモードシステム間変更において、EPSのソースMMEに保持されているEPSセキュリティ・コンテキストである、マッピングされたng-RAN NASセキュリティ・コンテキストを、ソースセルラネットワークから導出することを含む、方法。 - マッピングされたセキュリティ・コンテキストを導出する前に、完全性保護及び暗号化なしのREGISTRATION REQUESTメッセージを受信することを更に含む、請求項8に記載の方法。
- 前記完全性保護及び暗号化なしのREGISTRATION REQUESTメッセージを受信した後に、前記AMFが、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成することか、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意手続をトリガすることを更に含む、請求項8又は9に記載の方法。
- 条件1)か3)が満たされる場合、前記AMFは、新しい、マッピングされた5G NASセキュリティ・コンテキストを作成することと、新しいネイティブ5G NASセキュリティ・コンテキストを作成するための、プライマリ認証及び鍵合意手続をトリガすることとのいずれかを選択する、請求項8から10のいずれかに記載の方法。
- 請求項1から7のいずれかに記載の方法と、請求項8から11のいずれかに記載の方法とを含む、プロセス。
- 少なくとも1つのプロセッサと、コンピュータ実行可能なプログラム命令を格納するメモリとを備えるユーザ装置であって、前記プログラム命令は、前記少なくとも1つのプロセッサに実行されると、前記ユーザ装置に、請求項1から7のいずれかに記載の方法を遂行させるように構成される、ユーザ装置。
- 少なくとも1つのプロセッサと、コンピュータ実行可能なプログラム命令を格納するメモリとを備えるAMFであって、前記プログラム命令は、前記少なくとも1つのプロセッサに実行されると、前記AMFに、請求項8から11のいずれかに記載の方法を遂行させるように構成される、AMF。
- 5GSのAMFであって、
前記AMFは、シングルレジストレーションモードにあるUEの、e-UTRANからng-RANへのアイドルモードシステム間変更を取り扱うように構成され、前記AMFは、
e-UTRANを含むEPSと通信する手段及び前記UEと通信する手段と;
次の条件:
条件1)
・ 前記AMFが前記UEから、完全性保護及び暗号化なしのREGISTRATION REQUESメッセージを受信しており、
・ 前記REGISTRATION REQUESTメッセージがngKSIを含み、前記ngKSIが、マッピングされた5G NASセキュリティ・コンテキスト値"000"を示す;
条件2)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ 前記EPSのMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む;
条件3)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含んでいない;
条件4)
・ EPSのモビリティ管理エンティティと5GSのモビリティ管理エンティティとの間のシグナリングチャネルなしのインターワーキングがサポートされておらず、
・ ソースMMEから受信したEPSセキュリティ・コンテキストが、null integrity protectionアルゴリズム及びnull cipheringアルゴリズムにセットされたNASセキュリティアルゴリズムを含む;
の1つ又は複数が満たされる場合、アイドルモードシステム間変更において、EPSのソースMMEに保持されているEPSセキュリティ・コンテキストである、マッピングされたng-RAN NASセキュリティ・コンテキストを、ソースセルラネットワークから導出する手段と;
を備える、AMF。 - 請求項15に記載のAMFであって、前記AMFに、請求項9から11の何れかに記載の方法を実行する手段を備える、AMF。
- 請求項13に記載のユーザ装置と、請求項14から16のいずれかに記載のAMFとを含む、システム。
- EPSのMMEを含む、請求項17に記載のシステム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/FI2018/050714 WO2020070371A1 (en) | 2018-10-04 | 2018-10-04 | Method and apparatus for security context handling during inter-system change |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022501973A true JP2022501973A (ja) | 2022-01-06 |
JP7192107B2 JP7192107B2 (ja) | 2022-12-19 |
Family
ID=70054692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021517968A Active JP7192107B2 (ja) | 2018-10-04 | 2018-10-04 | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20210385722A1 (ja) |
EP (1) | EP3861791A4 (ja) |
JP (1) | JP7192107B2 (ja) |
CN (1) | CN113170369A (ja) |
BR (1) | BR112021006297A2 (ja) |
PH (1) | PH12021550731A1 (ja) |
WO (1) | WO2020070371A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021027439A1 (en) * | 2019-08-14 | 2021-02-18 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for delivery of inter-system non-access stratum (nas) security algorithms |
WO2021032610A1 (en) * | 2019-08-19 | 2021-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Amf re-allocation due to slicing |
CN113260015B (zh) * | 2021-05-11 | 2022-11-18 | 中国联合网络通信集团有限公司 | 任务处理方法及接入和移动性管理功能实体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101224230B1 (ko) * | 2008-06-13 | 2013-01-21 | 노키아 코포레이션 | 시스템간 모빌리티 동안에 프레시 보안 콘텍스트를 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 |
CN102187599B (zh) * | 2008-08-15 | 2015-04-01 | 三星电子株式会社 | 在移动通信系统中安全保护的非接入层面协议操作支持方法 |
US10588105B2 (en) * | 2017-01-12 | 2020-03-10 | Lg Electronics Inc. | Method and user equipment device for registering in wireless communication system |
CN110249646B (zh) * | 2017-01-30 | 2023-01-03 | 瑞典爱立信有限公司 | 在从5g切换到4g系统之前进行安全性管理的方法、装置、计算机程序以及载体 |
ES2935527T3 (es) * | 2017-01-30 | 2023-03-07 | Ericsson Telefon Ab L M | Manejo del contexto de seguridad en 5G durante el modo conectado |
-
2018
- 2018-10-04 BR BR112021006297A patent/BR112021006297A2/pt unknown
- 2018-10-04 US US17/281,778 patent/US20210385722A1/en active Pending
- 2018-10-04 CN CN201880099980.1A patent/CN113170369A/zh active Pending
- 2018-10-04 EP EP18936081.1A patent/EP3861791A4/en active Pending
- 2018-10-04 WO PCT/FI2018/050714 patent/WO2020070371A1/en active Application Filing
- 2018-10-04 JP JP2021517968A patent/JP7192107B2/ja active Active
-
2021
- 2021-04-01 PH PH12021550731A patent/PH12021550731A1/en unknown
Non-Patent Citations (3)
Title |
---|
3RD GENERATION PARTNERSHIP PROJECT: "Technical Specification Group Core Network and Terminals; Non-Access-Stratum (NAS) protocol for 5G S", 3PPP TS 24.501 V15.1.0 (2018-09), JPN6022015923, 21 September 2918 (2918-09-21), pages 29 - 34, ISSN: 0004758121 * |
ERICSSON: "Corrections and clarifications to interworking clauses[online]", 3GPP TSG SA WG3 #92 S3-182581, JPN6022015921, 24 August 2018 (2018-08-24), ISSN: 0004758122 * |
QUALCOMM INCORPORATED, DEUTSCHE TELEKOM: "Support for partial ciphering for initial NAS messages[online]", 3GPP TSG CT WG1 #111BIS C1-184608, JPN6022015919, 13 July 2018 (2018-07-13), ISSN: 0004758123 * |
Also Published As
Publication number | Publication date |
---|---|
WO2020070371A1 (en) | 2020-04-09 |
JP7192107B2 (ja) | 2022-12-19 |
PH12021550731A1 (en) | 2021-10-25 |
CN113170369A (zh) | 2021-07-23 |
BR112021006297A2 (pt) | 2021-07-06 |
US20210385722A1 (en) | 2021-12-09 |
EP3861791A4 (en) | 2022-05-04 |
EP3861791A1 (en) | 2021-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695742B2 (en) | Security implementation method, device, and system | |
US10178549B2 (en) | Authentication and key agreement with perfect forward secrecy | |
US10455414B2 (en) | User-plane security for next generation cellular networks | |
US20220086642A1 (en) | Identity-based message integrity protection and verification for wireless communication | |
US11582602B2 (en) | Key obtaining method and device, and communications system | |
WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
US9668139B2 (en) | Secure negotiation of authentication capabilities | |
US9942210B2 (en) | Key derivation method and apparatus for local access under control of a cellular network | |
WO2020029729A1 (zh) | 一种通信方法和装置 | |
JP2016007004A (ja) | セキュアユーザプレーンロケーション(supl)システムにおける認証 | |
WO2009152755A1 (zh) | 密钥身份标识符的生成方法和系统 | |
US20200344245A1 (en) | Message sending method and apparatus | |
WO2015096138A1 (zh) | 分流方法、用户设备、基站和接入点 | |
CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
WO2021244509A1 (zh) | 数据传输方法和系统、电子设备及计算机可读存储介质 | |
WO2020220903A1 (zh) | 通信方法和装置 | |
JP7192107B2 (ja) | システム間変更中のセキュリティ・コンテキストを扱う方法及び装置 | |
EP4262257A1 (en) | Secure communication method and device | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
CN113395697A (zh) | 传输寻呼信息的方法和通信装置 | |
CN115244892A (zh) | 安全认证方法、装置、设备及存储介质 | |
WO2021073382A1 (zh) | 注册方法及装置 | |
CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
CN113784351B (zh) | 切片服务验证方法、实体及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210414 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220420 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220422 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220719 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220920 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7192107 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |